برنامکهای مخربی که گوشی را root میکنند
حداقل سه برنامک بدخواه وجود دارند که از یک آسیبپذیری برای افزایش سطح دسترسی خود و سرقت اطلاعات استفاده میکنند.
حداقل سه برنامک بدخواه وجود دارند که از یک آسیبپذیری برای افزایش سطح دسترسی خود و سرقت اطلاعات استفاده میکنند. تولیدکنندگان موفق شده بودند آنها را در Google Paly Store قرار دهند اما این سه برنامک اکنون از گوگل پلی حذف شدهاند.
|
این برنامکها که توسط محققان ترندمیکرو (Trend Micro) شناسایی شدهاند، با استفاده از یک آسیبپذیری، سطح دسترسی خود را افزایش میدهند و سپس بدافزارهای دیگری را دانلود و اجرا میکنند. این آسیبپذیری از نوع «استفاده پس از آزادسازی» یا use-after-free است. این سه برنامک Camero، FileCrypt و callCam نام دارند. اگر این برنامکها روی گوشی شما نصبشدهاند، آنها را حذف کنید.
به گفته محققان ترندمیکرو «این برنامکها خود را به عنوان برنامه عکاسی و مدیریت فایل جا میزنند. ما بر اساس اطلاعات گواهی یکی از این برنامکها حدس میزنیم که آنها از مارس 2019 [اسفند 97] فعال بودهاند». آسیبپذیری مذکور با شناسه CVE-2019-2215 شناخته میشود که برنامکها میتوانند با سوءاستفاده از آن، با دسترسی کرنل، کد اجرا کنند. جالب اینجا است که این برنامکها از اسفند 97 فعال بودهاند، اما آسیبپذیری تا قبل از مهر 98 برطرف نشده بود.
به گفته محققان، وقتی قربانی یکی از برنامکهای Camero یا FileCrypt Manager را نصب میکرد، این برنامکهای ظاهراً سالم به یک سرور کنترل و فرمان متصل میشدند و دو فایل را دانلود میکردند. این دو فایل به همراه یکدیگر با استفاده از آسیبپذیری فوق، دسترسی سطح کرنل پیدا میکردند و درنهایت برنامک callCam را نصب میکردند. ابزار callCam میتواند اطلاعات سختافزاری دستگاه، موقعیت مکانی، برنامکهای نصبشده و دادههای برنامکهایی مثل WeChat، Outlook، Twitter، Yahoo، Gmail و مرورگر Chrome را جمعآوری کند. این اطلاعات در یک فایل رمز شده ذخیره میشود تا بعداً ارسال شود.
بر اساس اطلاعات سرورهای کنترل و فرمان به نظر میرسد گروه SideWinder پشت این برنامکها است که از سال 2012 مشغول عملیات هک بوده است. ظاهراً این تیم سیستمهای دولتی و نظامی پاکستان را هدف قرار داده و اغلب از بدافزارهای تحت ویندوز برای مقاصد خود استفاده میکرده است. منبع: Register
|